11 тысяч сообщений в секунду? Вызов принят: исследуем WhatsApp
Уже не первый год мессенджер WhatsApp сохраняет пальму первенства по популярности в мире. Его пользователи из 180 стран отправляют более ста миллиардов текстовых сообщений в день. Каждый второй обладатель смартфона в России заходит в WhatsApp ежедневно, а ежемесячная аудитория мессенджера в стране на конец 2023 года, согласно Mediascope, составляет более 95 млн пользователей.
Популярность WhatsApp может быть связана с тем, что он позиционирует себя как одну из самых безопасных платформ для общения. Переписка, голосовые сообщения, звонки, фото, видео и передаваемые файлы по умолчанию защищены сквозным шифрованием и не хранятся на сервере WhatsApp.
Неудивительно, что благодаря этому он привлекает злоумышленников, и с большой степенью вероятности каждый эксперт столкнется с необходимостью получения данных из него в процессе расследования преступлений. Для этого важно иметь в арсенале различные инструменты и сценарии.
С помощью «Мобильного Криминалиста» возможно извлекать данные WhatsApp из мобильных устройств, облачных сервисов iCloud и Google, зашифрованных резервных копий, облачного сервера WhatsApp, с помощью QR-токенов из ПК, а также из веб-версии, версии для десктопа и модифицированных версий WhatsApp. С небольшими вариациями, основной массив получаемой любым из этих способов информации включает в себя наиболее значимые для расследования данные:
- информацию об учетной записи;
- список контактов;
- приватные и групповые чаты с медиафайлами и другими вложениями;
- информацию о групповых чатах;
- звонки.
WhatsApp на мобильных устройствах: iOS и Android
При изучении данных приложений для обмена сообщениями, таких как WhatsApp, эксперты часто сталкиваются с блокировкой экрана и шифрованием устройства.
Сквозное шифрование, реализованное в WhatsApp, обеспечивает безопасность только при атаке посредника или простом перехвате в реальном времени. Однако данные на устройствах Apple iOS или Android доступны для расшифровки.
Что касается устройств iOS, данные WhatsApp можно извлечь с помощью получения резервной копии iTunes, а для устройств Android мы рекомендуем метод физического извлечения для восстановления файлов WhatsApp.
Эксперты могут воспользоваться любым из множества методов «Мобильного Криминалиста» для физического извлечения данных из Android-устройств. При исследовании устройства на ОС Android следует всегда проверять SD-карту на наличие резервной копии WhatsApp, поскольку этот файл обычно зашифрован.
Если физическое извлечение не поддерживается на Android-устройстве, можно использовать методы «Понижение версий АРК» или «Android-Агент» из модуля «МК Извлечение устройств», чтобы запустить логическое извлечение и получить множество ценных данных. Он позволяет задать выборочное извлечение чатов, контактов, звонков и данных учетной записи из WhatsApp и WhatsApp Business.
Для версии WhatsApp Business дополнительно доступно извлечение информации о часах работы компании, а также данных каталогов товаров и услуг, загруженных в профиль.
WhatsApp iCloud Backup и Google Backup
Пользователь WhatsApp, использующий iOS- или Android-устройство, может создать резервную копию своих чатов в iCloud или Google Drive.
Важно отметить, что резервные копии WhatsApp также могут быть зашифрованы, и для их расшифровки эксперту потребуется доступ к SIM-карте, с помощью которой он может восстановить и расшифровать связанные с ней данные WhatsApp.
При извлечении данных мессенджера из различных облачных сервисов могут возникнуть дополнительные препятствия, такие как двухфакторная аутентификация или двухшаговая проверка. Модуль «МК Облачные сервисы» программного обеспечения «Мобильный Криминалист» поможет их преодолеть.
Извлечение облачных данных может оказаться чрезвычайно важным для расследования дела, так как они могут содержать информацию, удаленную с устройства. Это возможно, если резервное копирование чатов было настроено пользователем на периодичность раз в неделю или раз в месяц.
Известно, что WhatsApp не хранит на своем сервере доставленные сообщения. Временному хранению подлежат только данные о неотвеченных вызовах и сообщениях, которые не получилось доставить (например, если устройство не было подключено к Интернету или было выключено).
«Мобильный Криминалист» обладает уникальной возможностью доступа к этим данным из облака с помощью номера телефона или специального токена WhatsApp Cloud, извлеченного из Android-устройства.
Если не получается разблокировать мобильное устройство, попробуйте следующее: выключите его, подождите несколько минут, извлеките SIM-карту и вставьте ее в другой телефон, разблокированный для оператора связи.
Выберите службу WhatsApp Cloud в модуле «МК Облачные сервисы» и затем — получение кода аутентификации в SMS-сообщении.
Таким образом возможно получить доступ к недоставленным сообщениям и к информации о неотвеченных звонках.
Расшифровка резервной копии WhatsApp
Стандартный метод расшифровки резервной копии WhatsApp, используемый в отрасли, основан на расшифровке файла ключа (key file). Благодаря инновационным методам «Мобильный Криминалист» предлагает новый процесс расшифровки, для которого требуется только номер телефона. Этот метод является отличной альтернативой обычно используемому файлу ключа.
Например, вы нашли зашифрованную резервную копию на SD-карте Android без доступа к внутренней памяти Android. Что делать?
Модуль «МК Облачные сервисы» предлагает эксклюзивную возможность расшифровать ее, получив код на номер телефона, присвоенный восстановленной SIM-карте. Стоит отметить, что в модуле также реализована поддержка дешифрования резервных копий crypt15 для сервиса WhatsApp.
Помимо данных с устройства, «Мобильный Криминалист» также может восстановить специальный токен WhatsApp Cloud из физических извлечений Android-устройств. Его можно использовать для расшифровки резервных копий WhatsApp с устройств Android, WhatsApp Google и WhatsApp iCloud, привязанных к тому же номеру телефона.
Пользователи WhatsApp могут общаться с помощью приложений WhatsApp Desktop и WhatsApp Web на персональном компьютере. Исследование показало, что WhatsApp не сохраняет никаких данных на самом ПК.
Однако при помощи модуля «МК Скаут», встроенного в «Мобильный Криминалист», возможно обнаружить токен авторизации WhatsApp QR Multi-device для ПК на Windows, где использовался мессенджер. Этот токен, в свою очередь, позволит извлечь полный объем данных приложения через «МК Облачные сервисы». Единственное условие — мобильное устройство владельца WhatsApp должно быть подключено к Интернету.
Метод QR-кода WhatsApp будет работать даже с заблокированным смартфоном.
Если извлечение из разблокированного мобильного устройства iPhone, Android или Windows Phone не удается, возможно отсканировать QR-код WhatsApp в методе WhatsApp QR Multi-device модуля «МК Облачные сервисы», чтобы получить данные.
Настройка конфигуратора поиска «МК Скаут» при исследовании ПК позволит получить данные мессенджера для платформ Windows и macOS, если он был установлен как с официального сайта, так и из магазина приложений.
Для образов, снятых с ПК на платформе Windows, и при исследовании запущенной системы Windows реализована возможность расшифровывания базы данных приложения. Кроме того, поддерживается извлечение данных веб-версии WhatsApp в составе браузеров Chromium, Яндекс Браузер, Brave, Vivaldi, Google Chrome, Microsoft Edge и Opera для Windows, macOS и GNU/Linux.
Таким образом, при помощи «Мобильного Криминалиста» эксперты смогут получить уникальные цифровые свидетельства и как можно скорее восстановить справедливость в ходе расследования инцидентов.